Prosegur Compañía de Seguridad S A : Cómo evitar un ciberataque contado por los que nos protegen

Los ciberataques aumentaron un 151% en 2021, según las estimaciones del Global Cybersecurity Outlook 2022 elaborado por el World Economic Forum. Y no es porque las empresas hayan bajado la guardia (su presupuesto en ciberseguridad no ha dejado de crecer en los últimos años) es porque la situación ha cambiado. Antes debían proteger los ordenadores y servidores de la empresa, ahora tienen que hacer lo mismo con las redes de sus empleados. "Antes había una barrera perimetral", señala Manel Cantos Priego, Professional Services Manager en Cipher, la línea de negocio de ciberseguridad de Prosegur. "El hecho de que el empleado esté en su casa, hace que ese perímetro ya no exista, haciéndolo mucho más vulnerable".

La pandemia popularizó el modelo híbrido: trabajamos más desde casa, lo hacemos a veces desde nuestros móviles, nos conectamos a redes públicas. Y eso los hackers lo saben. "Antes se centraban en las redes corporativas. Ahora, para ellos, lo más fácil es atacar a los empleados porque saben que es el punto más vulnerable". Según el informe Estado de resiliencia en materia de ciberseguridad, elaborado por Accenture, más de la mitad de las empresas no es capaz de detener de manera eficaz los ciberataques.

Cipher es una empresa global de ciberseguridad que presta una amplia variedad de servicios: Detección y Respuesta Gestionada, Servicios de Seguridad Gestionada, Servicios de Ciberinteligencia, Servicios de Red Team, Gestión, Riesgo y Cumplimiento e integración de Tecnología de Ciberseguridad… Y lo hace con la tecnología más puntera. Pero el eslabón más débil, señala Cantos, es el humano. Por eso no hay que pensar solo en los sistemas y redes conectadas, sino también en herramientas de concienciación y formación para que las personas sean un activo que permita, también, minimizar los riesgos.

El trabajo del equipo de Manel Cantos (Red Team), como experto en ciberseguridad, consiste en buscar los fallos de la empresa que le contrata, como lo haría un pirata informático. Es lo que se denomina un hacker ético. El procedimiento es el mismo, pero la finalidad no es lucrarse sino señalárselo a la empresa para que lo solucione. "Nos contratan para jugar a ser los malos".

Hace pruebas de phishing (método para hacer que la víctima comparta sus contraseñas mediante un engaño) a través de e-mails con faltas de ortografía, con logos pixelados o pequeños fallos que deberían hacer sospechar al destinatario. Pocas veces lo hacen. "Un alto porcentaje cae en la trampa", reconoce. "Pero estamos pensando en el phishing tradicional, en el correo electrónico, pero también se hace en otros formatos como SMS o incluso llamadas". De esta forma Cipher ayuda a las empresas a estar protegidas. Y a sus empleados a ser más conscientes de cómo funcionan estas sofisticadas formas de piratería.

¡Ojo con los USB olvidados!

Otro de los métodos existentes para que afloren las debilidades a las que se enfrentan las empresas es dejar extraviado un USB dentro de las oficinas. Un baño o unas escaleras son un buen lugar, pues los empleados tienden a devolver lo que encuentran en lugares públicos y vigilados, como la sala de reuniones, pero no son tan generosos cuando lo hacen en algún sitio más privado. Con ello, buscan concienciar sobre los riesgos de conectar un dispositivo externo a nuestro equipo. "El problema es que, si conectas ese USB, no sabes qué tiene dentro y puede robarte información que no debería salir de tu ordenador", explica Cantos.

El experto es consciente de que muchos de los empleados que caen han realizado antes cursos de prevención, pero señala que cuando hay una recompensa bajamos las defensas. Es como el mensaje engañoso que nos dice que hemos ganado un premio: la posibilidad de recibir una recompensa nos hace ignorar los riesgos.

A veces es algo tan simple como un USB. Otras, se opta por métodos más sofisticados. Por ejemplo el hackeo de una pecera inteligente para meterse en la red interna de un casino. Manel Cantos lleva 20 años dedicado a la ciberseguridad y ha visto de todo. Es un mundo en constante movimiento y hay que estar a la última. La nueva situación ha cambiado las reglas del juego y ha hecho a las empresas más vulnerables, pero cree que en estos dos años las cosas están cambiando y la ciberseguridad vuelve a ser una prioridad. "Al principio se trataba de poder seguir trabajando como fuera. Ahora se trata de hacerlo con ciertas garantías".

Más articulos de innovación